STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO DI
SICUREZZA
INFORMATICA
N°5/2003
Il bollettino può essere visionato on-line
sul sito www.cert.difesa.it
 SISTEMI OPERATIVI :
- DIALER……………………………………………………………………………………….Pag. 1
- NOVITA’ ANTIVIRUS IN OUTLOOK………………………………………………….Pag. 6
 FOCUS ON….:
-
SPAM……………………………………………………………………………………..Pag. 7
 SICUREZZA DELLA RETE:
- LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET
(NONA PARTE)………………………………………………………………………….Pag. 13
PER CONTATTI ED EVENTUALI SUGGERIMENTI :
TEL. 06/46917156–FAX 06/36000904
E-MAIL : [email protected]
DIALER
1. Cosa sono i dialer
I dialer (o webdialer) sono programmi (con estensione .exe) o componenti Active-X
che se installati ed attivati disconnettono la connessione al provider utilizzato e,
normalmente ad insaputa dell’utente, effettuano una nuova connessione verso un
numero telefonico, cosiddetto a valore aggiunto, con prefisso 709, 899, ecc., o verso
un numero internazionale del tipo +00773 ecc., con costi che vanno dai circa 2,5 euro
al minuto più iva, oppure con connessioni consecutive di pochi secondi ciascuna al
costo di 6 euro.
Spesso i programmi dialer sono camuffati da offerta per un rapido accesso a Internet,
abbonamento a un servizio, ecc. o promettono altri vantaggi. Basta quindi confermare
il download di questi programmi per ricevere fatture telefoniche talvolta
inaspettatamente elevate. Attualmente, i dialer funzionano solo con il sistema
operativo MS Windows.
2. Siti dove vi è il rischio di incappare nei dialer
I siti che propongono di scaricare dialer sono prevalentemente:
• siti che offrono Loghi o Suonerie per cellulari;
• siti che offrono materiale a carattere pornografico (foto, filmati, ecc.);
• siti che offrono Sfondi per Desktop;
• siti che offrono musica in formato MP3;
• siti che offrono programmi di Crack o Password per sbloccare software commerciale
a pagamento.
Altro mezzo comunemente usato sono le e-mail “non desiderate” (SPAM) con file
allegati di tipo .exe.
Pagina 1
3. Come si presentano
La figura 1 mostra cosa appare nel momento in cui si clicca su uno dei link.
Figura 1
In questi casi conviene annullare l’operazione in modo da non scaricare il dialer.
Un altro sistema che viene usato in rete per “convincere” gli utenti ad effettuare
il download di un dialer, consiste nello scaricare un presunto certificato
(figura 2).
Figura 2
Pagina 2
In questi casi bisogna ciccare No altrimenti il dialer verrà installato e risulterà di
difficile rimozione. E’ bene far presente che non tutti i certificati contengono dialer;
quindi l’utente deve essere in grado di riconoscerli, per esempio i certificati della
Macromedia e della Microsoft sono dei veri certificati.
I dialer possono inoltre trovarsi anche nelle fastidiose finestre di pop up (sempre
come collegamento a un file) le quali si aprono durante la navigazione e potrebbero
installare un dialer nel tentativo di chiuderle . Molti siti inoltre permettono anche il
download di immagini contenute in file Zip. All’interno di questo file Zip oltre alle
immagini ci potrebbe essere una icona con il personaggio che in realtà è un dialer
e non una immagine.
3.
Come difendersi
Quando su internet, per ottenere documenti, fotografie, filmati o brani musicali
viene chiesto di installare gratuitamente un programma bisogna fare molta
attenzione. In tal senso è importante ricordare che:
• è indispensabile leggere integralmente le istruzioni che riguardano il programma
da installare, scorrendo, senza fretta, tutto il testo con il cursore; molto spesso
viene spiegato che il programma, una volta installato, stabilirà una nuova
connessione con un numero telefonico (70X, 00X, 899XX) a tariffa più alta rispetto
all’urbana, in genere dai 2,5 euro più iva al minuto in su;
• a volte l'avviso relativo alla nuova connessione è assente o poco leggibile, oppure
non descrive alcune caratteristiche particolarmente insidiose del programma, quali
ad esempio connessioni consecutive di pochi secondi ciascuna al costo di 6 euro;
• se si sceglie di non installare il programma è importante verificare se il modem
cerca di chiamare un nuovo numero telefonico a vostra insaputa.
• se si sceglie di installare il programma è importante verificare se il modem cerca
di chiamare un nuovo numero telefonico a vostra insaputa in altre circostanze
(cioè dopo aver ottenuto il servizio offerto, ad esempio dopo qualche minuto o nei
giorni seguenti).
Si può impedire un'operazione non richiesta spegnendo il modem e verificando le
istruzioni di connessione (accesso remoto).
Comunque, per evitare di scaricare dalla rete i dialer esistono dei piccoli
accorgimenti che cautelano l’utente dal problema in oggetto:
a.
Esistono delle impostazioni restrittive a livello sistema operativo che evitano il
download dei file e quindi anche dei Dialer. La procedura da attuare riferita al
sistema operativo Windows 2000 è la seguente :
 aprire Internet Explorer e cliccare su "Strumenti > Opzioni Internet“;
Pagina 3
• cliccare su "Protezione" e infine su Livello personalizzato.
Pagina 4
sulla finestra che apparirà basterà scegliere "Disattiva" sulle seguenti voci:

"Active-X" - Disattiva TUTTE le voci che contengono la scritta "Active-X";

“Download dei File” – Disattiva
Questa risulta essere una soluzione un po' drastica ma e' la piu' sicura in
assoluto, Questo e' anche il modo piu' sicuro ed efficace per evitare che altre
persone poco esperte scarichino i dialer inavvertitamente. Detta procedura
risulta reversibile nel caso ci sia necessità di scaricare un Active X o un file da
Internet; in questo caso dovremo scegliere la voce “Attiva” nelle posizioni sopra
descritte.
b. In rete esistono dei programmi chiamati Anti-dialer, i quali avvisano l’utente
(connesso tramite dial-up o ISDN) nel momento in cui varia l’accesso remoto e
di conseguenza il numero telefonico chiamato. Uno di questi prende il nome di:
"STOP Dialers“ 1.2, questo impedisce che il modem si connetta a numeri
telefonici differenti da quelli del provider (e quindi a tutti i numeri dei dialer). La
versione attuale funziona egregiamente su Windows 95/98/ME e su
Windows2000 e XP.
Detto programma è completamente gratuito e scaricabile al seguente URL :
http://www.akapulce.net/socket2000/stopdialer.asp
Per una ulteriore scelta si consiglia di digitare la parola “programmi antidialer” come chiave, con un qualsiasi motore di ricerca.
Esiste anche la possibilità tramite il servizio Telecom che risponde al numero
187 di disattivare sulla linea tutte le chiamate fatte ai numeri 899, 709,
166, e a tutti gli altri numeri a pagamento. Telecom offre di disattivare i
numeri a pagamento solo da pochissimi mesi. La disattivazione di tutti
questi e’ gratuita .
Pagina 5
NOVITA’ ANTIVIRUS IN OUTLOOK
La Microsoft nella partecipazione alla lotta contro l’espandersi dei virus,
specialmente attraverso la posta elettronica, dalla versione di Outlook 2000 Sr1 (e
successivi aggiornamenti) ha incluso nel client di posta elettronica un filtro in modo
da bloccare gli allegati con deteminate estensioni. Le estensioni “incriminate”
risultano le seguenti : .ade, .apd, .bas, .chm, .cmd, .com, .crt, .exe, .hlp, .hta, .inf,
.isp, .js, .jse, .lnk, .mbd, .mde, .msc, .msi, .msp, .mst, .pcd, .pif, .reg, .scr, .sct,
.url, .vb, .vbe, .vbs, .wsc, .wsf, .wsh. Il filtraggio di queste avviene perché allegati
con le estensioni sopradesrcitte potrebbero contenere un codice dannoso, in
definitiva dei virus.
Il problema sorge quando l’e-mail contiene un normale eseguibile (.exe) che viene
sistematicamente bloccato da Outlook; la Microsoft dichiara che l’aggiornamento
una volta installato si integra completamente con Outlook e per essere rimosso
bisogna, per forza di cose, disinstallare Office. Per ovviare a questo problema la
Microsoft suggerisce di farsi inviare in tal caso i dati compressi come file .zip. Il
problema si può arginare creando una stringa di comandi nel registro di sistema.
Le operazioni da eseguire sono le seguenti :
1. Cliccare su start > esegui > quindi digitare “regedit”;
2. Una volta entrati nell’editor di registro selezionare il seguente percorso :
Hkey_Local_Machine\Software\Microsoft\Software\Office\Outlook
(se la cartella non esiste, occorre crearla: fare clic con il tasto destro su Office, poi
scegliere Nuovo > Chiave, specificare Outlook come Nome, quindi premere invio);
3. Dopo un clic con il tasto destro sulla cartella Outlook scegliere Nuovo > Dword il
valore OldAttachmentDialog (figura 1) seguito da invio;
Figura 1
4. Fare doppio clic sulla nuova voce e modificarne il valore in “1”;
5. Infine confermare ed uscire dall’editor.
Da questo momento il meccanismo di protezione risulterà disabilitato; mentre se il
valore viene modificato in “0” o si cancella la sottochiave, si riattiverà il meccanismo di
protezione. Si consiglia, comunque di non aprire direttamente l’allegato, ma salvarlo
su disco fisso; per farlo basta cliccare con il tasto destro sull’allegato e scegliere la
voce “salva con nome”. Il file così salvato sarà pronto per essere esaminato da un
buon antivirus.
Pagina 6
SPAM
Che cosa è
Lo spam su Internet consiste in uno o più messaggi non sollecitati, spediti o affissi
come parte di un insieme più grande di messaggi, tutti aventi contenuto
sostanzialmente
identico.
La parola “SPAM” deriva da un impasto di carne di maiale e prosciutto in scatola
(spicy pork and ham). Questo tipo di carne diventò oggetto di una famosa scenetta
dei Monty Python, che si svolgeva in un ristorante dove tutti i piatti offerti
contenevano lo spam, così questa parola veniva ripetuta ossessivamente all'infinito.
Così spam entrò nel gergo delle reti per indicare l'eccessiva, ripetitiva e fastidiosa
diffusione dello stesso messaggio. Il termine spam fu usato originariamente in
Usenet per descrivere pubblicità o posta fuori tema scambiato tra i vari newsgroup.
Da quando questo fenomeno si è diffuso ha incluso messaggi di posta ordinaria sia di
tipo UCE (unsolicited commercial email=pubblicità non richiesta) che UBE
(unsolicited bulk email=quantità di posta non richiesta).
Come difendersi
1. La prima azione da fare è quella di settare il proprio programma di posta
elettronica, configurando dei filtri personalizzati, in modo da ridurre sostanzialmente
la ricezione di junk mail (posta indesiderata). La configurazione che segue prende in
esame il programma di posta elettronica “ Microsoft Outlook 2000”. Questo filtro
permetterà di compilare una lista, dove l’utente man mano che riceverà posta
elettronica, segnalerà i mittenti considerati come “non desiderati”, i quali se ricevuti
una seconda volta saranno subito evidenziati o spostati automaticamente in un’altra
casella. Il settaggio di un filtro personalizzato per la posta indesiderata avviene
seguendo i seguenti passi :
- aprire il programma e cliccare su “organizza” (figura 1)
figura 1
Pagina 7
- cliccando su “Organizza” e successivamente su “Posta indesiderata” apparirà
una maschera che permetterà di evidenziare la posta indesiderata con dei colori a
scelta, in più sarà data possibilità di spostare la posta indesiderata in un’altra
locazione (figura 2);
figura 2
- per visualizzare o modificare l’elenco della posta indesiderata bisognerà
cliccare sulla scritta “fare clic qui”, comparirà un’altra schermata che darà la
possibilità di configurare l’elenco (figura 3);
figura 3
Pagina 8
- infine il metodo più rapido per aggiungere elementi alla lista della posta
indesiderata consiste nel cliccare con il tasto destro, sul mittente da aggiungere
nell’elenco della posta indesiderata, di conseguenza cliccare su “Posta
indesiderata” > “Aggiungi all’elenco Mittenti posta indesiderata” (figura 4).
figura 4
Questo settaggio comporterà la non visualizzazione di posta già considerata
spam.
2. Un secondo rimedio potrebbe consistere nell’installare un programma
antispam, che svolga la funzione di controllo ed eliminazione della posta
indesiderata.
I software attualmente in commercio si dividono in due categorie : Pop3
Proxy e Plug-in.
- Pop3 Proxy : questi programmi si interpongono tra il server di posta e il
client di posta elettronica (Outlook, Outlook Express, Netscape Messeger,
Opera etc). I Pop3 Proxy filtrano il traffico isolando i messagi indesiderati;
infatti quando l’utente accederà alla caselle di posta elettronica si vedrà
recapitare solo la posta desiderata.
. Vantaggi
- questi programmi sono indipendenti dal client di posta elettronica usato;
. Svantaggi
- configurazione abbastanza complessa e possibili conflitti con programmi
antivirus già presenti sul PC;
- alcuni di questi programmi, cancellano le e-mail indesiderate senza
possibilità di verifica, dando così esito a “falsi positivi”, cioè la possibilità di
scartare e-mail reali.
Pagina 9
-
Plug-in : a differenza dei programmi Pop3 Proxy questi, una volta installati,
diventano parte integrante del client di posta utilizzato, semplificando le
operazioni di configurazione ed installazione.
. Svantaggi
- questi programmi sono specifici per client di posta elettronica. Per esempio il
programma usato per Outlook non può essere usato per Netscape Messeger;
. Vantaggi
- i messaggi che vengono filtrati da questi programmi non sono direttamente
cancellati, essi vengono scaricati in una specifica cartella della posta in arrivo, in
modo che questi siano controllati prima della definitiva cancellazione.
La ricerca in rete di questi programmi avviene digitando la parola chiave “software
antispamming” con un qualsiasi motore di ricerca.
3. Un’altra soluzione consiste nell’aprire, presso un gestore di posta elettronica,
una nuova casella (di nuova attuazione) che sia già provvista di filtri antivirus e
antispam. Nella Figura 5 possiamo vedere, a grandi linee, come è strutturata
l’architettura di posta elettronica (in ricezione).
POP/IMAP
Internet
Anti- Spam
Anti- Virus
Delivery-in
Figura 5
SMTP
Nel dettaglio vediamo come è composta la componente Anti-spam;i filtri principali
applicati risultano i seguenti:
• DNS-based Block list – liste di indirizzi IP di host che inviano SPAM, dette liste
sono costantemente aggiornate in tempo reale e consultate via DNS;
• Local Black List - liste di inidirizzi e-mail o IP di host che inviano SPAM, queste
liste sono di solito aggiornate manualmente;
• Filtri – filtri che rifiutano e-mail sulla base di parole chiave contenute nel messaggio
stesso (header e/o body).
Vantaggi
- questo tipo di casella non necessita di alcuna installazione o configurazione, in
quanto servizio offerto dal gestore della posta elettronica;
Svantaggi
- possibilità di “falsi positivi”;
- alcune di queste caselle di posta risultano a pagamento.
Pagina 10
Come segnalare gli “Spammer”
Se si ricevono messaggi indesiderati di posta elettronica di tipo "spam", da un utente
italiano collegato a un provider italiano, che arrecano turbativa, essi possono essere
denunciati
alla Telecom Italia scrivendo alla Direzione Regionale piu' vicina,
all'attenzione del Direttore Responsabile della Sede, allegando:
- copia della e-mail ricevuta;
- le proprie generalità;
- riferimento all'art. 26 del D.M. 197/97 del Regolamento di Servizio
Art. 26 D.M. 197/97 sul Regolamento di Servizio Telecom Italia
1. L'abbonato non puo' servirsi del proprio impianto per effettaure comunicazioni che
arrechino molestia o che violino le leggi vigenti.
2. L'abbonato non puo' utilizzare il servizio in modo da creare turbativa ad altri
abbonati.
3. L'abbonato si impegna a non consentire ad altri di utilizzare il suo telefono per
telefonate moleste.
4. Il gestore ha la facolta' di sospendere immediatamente il servizio senza preavviso
qualora l'abbonato ne faccia l'uso improprio indicato nei casi precedenti dandone, se
del caso, idonea comunicazione alle Autorita' competenti.
Se invece l’e-mail provengono dall’estero
del messaggio al provider, chiedendo di
“Black List” (lista di contatti indesiderati)
e-mail con mittenti non inseriti nella Black
l’unica cosa da fare è segnalare il mittente
aggiungere il mittente in argomento, nella
così facendo, il server di posta invierà solo
List.
Tipi di spam
1. Una variante meno conosciuta, ma non per questo meno dannosa e quella che
consiste nell’utilizzare delle determinate tecniche, per cercare di ottenere posizioni più
alte nei motori di ricerca. Un esempio potrebbe essere la ripetizione estrema di parole
chiave o l’utilizzo di parole che non c’entrano con il contenuto effettivo del sito, sono
considerate spam. Questo tipo di spam interessa direttamente i web master, che
tenendo conto di questo problema, dovrebbero cautelarsi per quanto riguarda la
creazione e la gestione della propria pagina Web.
2. Un tipo di spam, che non riguarda espressamente la posta elettronica ma gli ormai
famosi messaggi SMS sui telefonini, vede la creazione di siti Web che promettono di
“proteggere”, gratis ed in modo anonimo, cellulari dallo spam via SMS, richiedendo
solo ed esclusivamente il numero del cellulare da proteggere. All’utente “malcapitato”
potrebbero arrivare una serie imprecisata di messaggi SMS indesiderati.
Pagina 11
Il futuro dello spam
La nuova frontiera dello spam, consiste nello sfruttare servizi normalmente aperti
in sistemi come Microsoft Windows 98,2000,XP. Programmi come “Mass Popup” e
altri programmi simili, hanno la facoltà di inviare a milioni di computer in rete
messaggi pubblicitari che compaiono all’improvviso, mentre si naviga in Internet.
I rimedi da mettere in atto sono essenzialmente due :
- dotarsi di un firewall, dato che il programma Mass Popup per funzionare accetta
solo connessioni non protette;
- l’alternativa al firewall, consiste nel disabilitare il servizio che questi programmi
sfruttano, nel nostro caso il servizio “Messenger”; per disabilitarlo agire come
segue :
Windows 2000 :
1. cliccare su Start > Impostazioni > Pannello di Controllo > Strumenti di
Amministrazione > Servizi;
2. scorrere sul video fino a trovare il servizio “Messenger”;
3. cliccare sopra con il tasto destro successivamente , selezionare Arresta,
dopodichè sempre nella stessa posizione cliccare su Proprietà;
4. comparirà un maschera (figura 1) dove bisognerà configurare il “Tipo di
avvio” di questo servizio su Manuale o su Disabilitato.
Figura 1
Windows XP : per questo sistema operativo la procedura è simile, l’unico
passo che varia è il numero 1 che risulta così variato : cliccare su Start >
Pannello di Controllo > Strumenti di Amministrazione > Servizi;
Windows 98/Me : per questi sistemi operativi bisognerebbe rimuovere o
disabilitare tutti i file e le stampanti condivise, se questo non è possibile, si
consiglia l’uso di un firewall.
Pagina 12
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(NONA PARTE)
W7 Autenticazione generica di Windows
- Account senza password o con password deboli
W7.1 Descrizione:
In quasi tutte le interazioni tra gli utenti e i sistemi informativi vengono
utilizzate password, frasi identificative o codici di sicurezza. La maggior parte
delle forme di autenticazione, come la maggior parte delle protezioni per file e
dati, si basa su password fornite dall’utente. Dal momento che gli accessi
correttamente autenticati spesso non vengono registrati, o anche se vengono
registrati non lo sono in modo da fornire alcun segnale di allarme, una
password compromessa rappresenta un’opportunità di esplorare un sistema
dall’interno potenzialmente senza essere identificati. Un aggressore avrebbe
accesso completo a qualsiasi risorsa disponibile per quell’utente e sarebbe
molto vicino ad essere in grado di accedere ad altri account, a macchine vicine
e forse anche ad ottenere privilegi di amministrazione. Nonostante questi
pericoli, gli account con password deboli o addirittura senza password
rimangono estremamente diffusi e le società con una buona policy sull’utilizzo
delle password ancora troppo rare.
Le più comuni vulnerabilità delle password sono dovute (a) ad account senza
password o con password deboli, (b) al fatto che, a prescindere dalla
robustezza delle password, spesso gli utenti non le proteggono, (c) al fatto che
il sistema operativo o il software applicativo creano account di amministrazione
con password deboli o privi di password (d) al fatto che gli algoritmi di hashing
delle password sono noti e spesso gli hash vengono memorizzati in modo da
essere accessibili a chiunque. La difesa migliore e la più corretta contro queste
vulnerabilità è una solida policy che includa le istruzioni per creare delle buone
password e che riassuma i comportamenti corretti per conservarne la
riservatezza, unita a una verifica proattiva dell’integrità delle password.
W7.2 Sistemi operativi interessati
Qualsiasi sistema operativo e applicazione per accedere alla quale gli utenti si
autentichino tramite user ID e password.
W7.3 Riferimenti CVE
CAN-1999-0506, CAN-1999-0504, CVE-2000-0222, CAN-1999-0505
Pagina 13
W7.4 Come determinare se siete vulnerabili
Per quanto vi siano alcuni sintomi osservabili di una generale debolezza delle
password, come la presenza di account attivi appartenenti a utenti che non operano
più all’interno dell’organizzazione o a servizi non più attivi, l’unico modo per accertarsi
che ogni singola password sia sufficientemente robusta è quello di verificare tutte le
password con gli stessi strumenti per la determinazione delle password utilizzati dagli
aggressori. ATTENZIONE: Non utilizzate mai un password scanner, neanche sui
sistemi per i quali avete un accesso da amministratore, senza autorizzazione esplicita
e preferibilmente scritta da parte del vostro datore di lavoro. È già accaduto che
amministratori di sistema con le migliori intenzioni siano stati licenziati per aver
utilizzato strumenti per la determinazione delle password senza autorizzazione.
I migliori strumenti per la determinazione delle password sono:
•LC4 (l0phtcrack versione 4) ;John the Ripper; Symantec NetRecon
W7.5 Come proteggersi
La difesa migliore e la più corretta contro la debolezza delle password è una solida
policy che includa le istruzioni su come generare buone password e descriva i
comportamenti corretti per mantenerne la sicurezza, assieme ad una verifica proattiva
dell’integrità delle password.
1. Assicurarsi che le vostre password siano sufficientemente robuste. Disponendo di
tempi e risorse hardware adeguate, qualsiasi password può essere violata utilizzando
il sistema "brute force". Ma ci sono metodi più semplici e molto più efficaci per venire
a conoscenza delle password con uno sforzo minore. I password cracker utilizzano
metodi conosciuti come “attacchi da dizionario”. Dal momento che i metodi crittografici
sono noti, gli strumenti per l’individuazione delle password non fanno altro che
confrontare le password in forma crittata con le forme crittate di parole del dizionario
(in diverse lingue), di nomi propri, e con le permutazioni di entrambi. Di conseguenza
una password la cui radice assomigli in qualche modo a una parola è estremamente
suscettibile di essere violata da un attacco da dizionario. Molte organizzazioni
insegnano ai propri utenti a generare password che includano combinazioni di
caratteri alfanumerici e caratteri speciali, e gli utenti la maggior parte delle volte
prendono una parola (ad esempio "password") e convertono le lettere in numeri o
caratteri speciali ("pa$$w0rd"). Queste permutazioni non proteggono, però, dagli
attacchi da dizionario: "pa$$w0rd" ha la stessa possibilità di essere violata di
"password."
Una buona password, quindi, non deve avere come radice una parola o un nome
proprio. Una solida policy sulle password dovrebbe indirizzare gli utenti verso la
creazione di password derivate da qualcosa di più casuale, come una frase o il titolo di
un libro o di una canzone. Concatenando una stringa più lunga (prendendo la prima
lettera di ogni parola o associando alle parole un carattere speciale o togliendo le
vocali, ecc.), gli utenti possono generare stringhe sufficientemente lunghe che
combinano caratteri alfanumerici e caratteri speciali in modo tale da creare una
grande difficoltà ai tentativi di attacco con metodi da dizionario.
Pagina 14
E in più se la frase è facile da ricordare, lo sarà anche la password. Una volta fornite
agli utenti le corrette indicazioni su come generare buone password, possono essere
messe in opera le procedure per controllare che queste indicazioni vengano seguite.
Il modo migliore per farlo è quello di convalidare le password ogni volta che l’utente
le cambia impiegando Passfilt.
•Gli strumenti per la determinazione delle password devono essere utilizzati in
modalità stand-alone come parte di un esame sistematico. FATE ANCORA
ATTENZIONE: Non utilizzate mai un password scanner, neanche sui sistemi per i
quali avete un accesso da amministratore, senza autorizzazione esplicita e
preferibilmente scritta da parte del vostro datore di lavoro. È già accaduto che
amministratori di sistema con le migliori intenzioni siano stati licenziati per aver
utilizzato strumenti per la determinazione delle password senza autorizzazione Una
volta ricevuta l’autorizzazione ad utilizzare strumenti per la determinazione delle
password sul vostro sistema, attivateli regolarmente su una macchina protetta. Gli
utenti le cui password vengono violate devono essere avvisati in modo confidenziale
e devono essere fornite loro le istruzioni su come scegliere una buona password. Gli
amministratori di sistema e il management dovrebbero sviluppare assieme questo
tipo di procedure, in modo tale che il management possa provvedere quando gli
utenti
non
rispondono
alle
notifiche.
Un altro modo per proteggersi da password deboli o assenti è quello di utilizzare
forme alternative di autenticazione come token generatori di password o sistemi di
autenticazione biometrica. Se avete problemi derivati da password deboli, usate
quindi
metodi
diversi
per
l’autenticazione
degli
utenti.
•Proteggere le password robuste. Anche se le password sono robuste, gli account
possono essere ugualmente compromessi se gli utenti non proteggono
adeguatamente la propria password. Una buona policy include sempre istruzioni che
specificano come gli utenti non devono mai riferire la propria password a
nessun’altro, non devono mai trascrivere la password in supporti che possano
essere letti da altri e devono rendere adeguatamente sicuro qualsiasi file nel quale
sia conservata una password per l’autenticazione automatica (le password sono più
facili da proteggere quando questa pratica è utilizzata solo quando assolutamente
necessario).
La modifica periodica della password deve essere fatta rispettare in modo che quelle
password che non rispettano queste regole siano vulnerabili solo in una finestra
temporale limitata, e deve essere tassativamente vietato che le vecchie password
possano essere riutilizzate. Controllate che agli utenti giungano gli avvisi e sia data
loro le possibilità di modificare la propria password prima della scadenza. Quando si
trovano di fronte a frasi come: "la vostra password è scaduta e deve essere
cambiata,"
gli
utenti
tendono
a
scegliere
una
cattiva
password.
Pagina 15
3. Controllare rigorosamente gli account.
o Qualsiasi account per l’accesso a un servizio e qualsiasi account di
amministrazione che non sia più in uso deve essere disabilitato o eliminato.
Qualsiasi account per l’accesso a un servizio e qualsiasi account di
amministrazione che siano in uso deve essere forniti di una password solida e
recente.
o Verificare gli account presenti sul vostro sistema e create una master list. Non
dimenticate di verificare le password su dispositivi come router e stampanti
digitali, fotocopiatrici e controller connessi a Internet.
o Sviluppare procedure per aggiungere account autorizzati alla lista e per
rimuove dalla lista gli account che non sono più in uso.
o Verificare periodicamente la lista per controllare che non siano stati aggiunti
nuovi account e che gli account non più in uso siano stati rimossi.
o Adottare rigide procedure per la rimozione degli account quando i dipendenti o
i collaboratori della società non lavorano più lì o quando gli account non sono più
necessari.
4. Implementare una solida policy per le password in azienda. In aggiunta ai
controlli a livello di sistema operativo o a livello di rete, esistono degli strumenti
completi che aiutano a gestire una buona policy per le password. L’Enterprise
Security Manager (ESM) di Symantec è uno strumento di monitoraggio che
risiede sull’host che evidenzia qualsiasi cambiamento nella policy, la creazione di
nuovi account e verifica la robustezza delle password. ESM inoltre può eseguire
tentativi per verificare la violabilità delle password in accordo con la policy attiva
nella vostra rete. ESM utilizza un ambiente client-manager: l’agente è posto sui
server o sulle workstation e invia le segnalazioni a un gestore centralizzato.
Utilizzando una console remota, è possibile vedere i log e possono essere
generati dei report sullo stato attuale della situazione. ESM verificherà i log e
segnalerà qualsiasi modifica che sia stata fatta dalla situazione di partenza.
Pagina 16